Cato Networks’ün Siber Tehdit Araştırma Laboratuvarı (CTRL) araştırmacıları, Çin bağlantılı bir aktörle ilişkilendirilen, daha önce belgelenmemiş bir zararlı yazılım implantı tespit etti. Keşif, Nisan 2026’da küresel bir üreticinin Hindistan şubesini hedef alan bir sızma girişimine yanıt verilirken yapıldı. Cato CTRL ekibi sızmayı engellemeyi başarsa da, müşteri ortamına bağlı üçüncü taraf bir kullanıcıyla ilişkili şüpheli trafik tespit etti.
Saldırı zinciri, birinci aşama dropper, Donut shellcode, gizlenmiş bir .woff web yazı tipi kaynağı, bellek enjeksiyonu ve web benzeri komuta ve kontrol (C2) iletişimi kullanıyordu. Operasyon, hedefi açık kaynaklı Rshell C2 çerçevesinden türetilen özelleştirilmiş bir Go tabanlı implantla enfekte etmeyi amaçlıyordu. Orijinal Rshell çerçevesi, platformlar arası saldırı güvenliği için tasarlanmış olup uzaktan komut yürütme, dosya ve süreç yönetimi, terminal erişimi, bellek içi yük yürütme, birden çok C2 taşıyıcısı ve AI ajan iletişimleri için kullanılan bir model bağlam protokolü (MCP) sunucusu içerir.
Gözlemlenen sürüm, operasyon için özelleştirilmiş ve yeniden paketlenmiş, belgelenmemiş bir Rshell varyantıdır. Araştırmacılar 13 Mayıs tarihli raporlarında, “iletişim ve dağıtım değişikliklerinin onu saldırganın kampanyası için daha uygun hale getirdiğini” belirtti. Cato CTRL, bu implanta ‘TencShell’ adını verdi çünkü shell tabanlı uzaktan kontrol yeteneklerini, Tencent benzeri web hizmet yollarını taklit eden C2 iletişimiyle birleştiriyor.
Bu yeni implant, Çin bağlantılı aktörlerin hedef odaklı saldırılarda giderek daha karmaşık teknikler kullandığını gösteriyor. TencShell’in keşfi, özellikle endüstriyel ve üretim sektörlerindeki şirketlerin, üçüncü taraf erişimlerini ve ağ trafiğini yakından izlemesi gerektiğini vurguluyor. Araştırmacılar, bu tür özel yapım implantların tespit edilmesinin zor olduğunu ve kuruluşların güvenlik açıklarını kapatmak için proaktif tehdit avcılığı yapması gerektiğini belirtiyor.